基于机器学习实现APT 检测（附完整代码）

news2024/11/25 18:33:03

项目环境概述

以机器学习的方式，可以通过多种模型对 APT 组织所使用的恶意代码进行训练学习，同时由于训练的多样化，检测效果也会比家好。本项目采用的随机森林以及不同采样策略进行模型训练。详细设计见md文件。

1.系统描述

本系统主要是针对大量APT恶意代码进行学习，通过学习后从而对更多的APT恶意代码能够检测分类。

2.系统功能

对APT组织所使用的恶意代码进行动态分析，提取动态分析结果中的关键特征，使用随机森林并采用不同采样策略进行模型训练，最后能对恶意代码所属APT进行检测。

3.系统环境

3.1 硬件环境

i7以上CPU+4G内存+320G硬盘

3.2 软件环境

Ubuntu18.04操作系统

3.3 网络环境

4.一般约束

工具性能性能约束，开发技术支持，软件约束范围等。

三、软件业务需求描述

1.软件需求

软件需求 A

需求编号	01	需求名称	对 APT 使用恶意代码分析
需求说明	将恶意代码转换成能进行学习的数据结构
需求属性
数据流程	通过给定的恶意代码将其二进制转换为 01 图
展现类型	一系列衡量代码的 01 转换图
是否补录	是
存储周期	3 周
需求数据精度	无
权限需求	管理员

软件需求 B

需求编号	02	需求名称	提取动态分析中的关键特征
需求说明	由于代码可能过于庞大，因此部分需要进行提取
需求属性
更新频度	2 天
数据流程	经过上一步的分析，对数据结构进行删减
展现类型	一系列衡量代码的 01 转换图
是否补录	是
存储周期	3 周
需求数据精度	无
权限需求	管理员

软件需求 C

需求编号	03	需求名称	模型训练
需求说明	使用随机森林并采用不同采样策略进行训练（小样本）
需求属性
更新频度	每天多次，训练时间应较短
数据流程	确定好模型以及输入进行训练和参数调优
展现类型	分类的准确率以及训练时间
存储周期	3 周
权限需求	管理员

软件需求 D

需求编号	04	需求名称	模型预测
需求说明	测试所训练的模型，对给定恶意代码所属 APT 组织进行判定
需求属性
更新频度	无
数据流程	模型训练好后对待测代码进行判定即可
展现类型	预测结果
是否补录	无
存储周期	3 周
权限需求	管理员

输入参数

输入参数名称	参数类型	缺省数值	有无显示同级的要求	备注
待预测恶意代码	恶意代码二进制表示	无	无	无

软件需求 E

需求编号	05	需求名称	可视化界面
需求说明	基本可视化，方便用户查询
需求属性
更新频度	无
数据流程	模型预测好存入数据库后直接进行回显
展现类型	预测结果
是否补录	无
存储周期	3 周
权限需求	管理员

四、技术需求描述

1.初始数据质量标准

由于数据会直接导致模型的好坏，因此初始数据噪声值应尽量小，数据量尽可能大

2.高性能

预测时响应速度小于1s

3.可移植性

不同操作系统均能进行训练预测。

4.可扩展性

对于不同输入数据规模，能够对相应的样本进行预测，同时能使用不同的数据进行预测。

5.可维护性

模型参数丢失以及数据库信息损失能及时回补

五、开发模型选择

开发模型我们选择瀑布式模型，主要原因是有利于软件开发过程中人员的组织、管理，有利于软件开发方法和工具的研究，从而提高了大型软件项目开发的质量和效率。

概要设计

1.引言

1.1 编写目的

本说明书目的在于明确说明系统所需环境、各模块的实现方式，以及指导开发员进行编码。

1.2 预期读者

本说明书预期读者包括：

● 项目经理；

● 开发人员；

● 测试人员；

● 文档编写人员；

2. 技术设计

2.1 系统运行环境

分类	名称	版本	语种
主机操作系统	Ubuntu	18.04	英文
客户机操作系统	Windows 7	SP1	简体中文
沙箱环境	Cuckoo	2.0.7	英文
数据库平台	Gauss DB	-	简体中文
主机主要开发平台	Python	python2.7 & python3.6	英文
客户机主要开发平台	Python	python2.7	英文
开发主要环境	Anaconda(tenserflow)	3 (2.X)	简体中文